다운로드
소프트웨어 개발
계정
다운로드
소프트웨어 개발
Login
Forgot Account/Password
계정 만들기
언어
도움
언어
도움
×
Login
Login Name
Password
×
Forgot Account/Password
Translation Status of 한국말
Category:
Software
People
PersonalForge
Magazine
Wiki
검색
OSDN
>
브라 우즈 소프트웨어
>
Internet
>
WWW/HTTP
>
Site Management
>
osCommerce 日本語版
>
포럼
>
osCommerce 一般
>
セッションハイジャック?
osCommerce 日本語版
Description
Project Summary
Developer Dashboard
웹 페이지
Developers
Image Gallery
List of RSS Feeds
Activity
Statistics
History
다운로드
List of Releases
Stats
소스 코드
Code Repository list
CVS
View Repository
티켓
Ticket List
Milestone List
Type List
Component List
List of frequently used tickets/RSS
Submit New Ticket
Documents
Communication
포럼
List of Forums
イベント (20)
osCommerce カスタマイズ (493)
osCommerce FAQ (1365)
osCommerce 一般 (36)
Mailing Lists
list of ML
tep-j-develop
tep-j-general
News
포럼:
osCommerce 一般
(Thread #8090)
Return to Thread list
RSS
セッションハイジャック? (2005-07-07 14:13 by
Anonymous
#15142)
Reply
Create ticket
oscommerce2.2MSIを利用しています。
独学で店舗用のサイトを運営しています。。。
先日、お客様から「アクセスするとログイン名が他人の名前で出ている」と電話がありました。
その「他人」とは当店の別の登録ユーザーでした。
どうも同時刻に2人はアクセスしてきたようだというのはわかっている情報です。
お客様にはログアウトを促してもう一度ログインしていただくと自分のログインはできたようなのですが、
その瞬間他人の状態でログインできたいたことになるんですよね?
こんなことは初めて言われたので戸惑っています。
いくら同時刻でもセッションIDの重複なんて起こるんでしょうか?
どなたかご教授下さい。
※気になる点として、インストール時に/tmpに保存するよう設定したのと関係があるのでしょうか。。。
Reply to #15142
×
Subject
Body
Reply To Message #15142 > oscommerce2.2MSIを利用しています。 > 独学で店舗用のサイトを運営しています。。。 > > 先日、お客様から「アクセスするとログイン名が他人の名前で出ている」と電話がありました。 > > その「他人」とは当店の別の登録ユーザーでした。 > どうも同時刻に2人はアクセスしてきたようだというのはわかっている情報です。 > > お客様にはログアウトを促してもう一度ログインしていただくと自分のログインはできたようなのですが、 > その瞬間他人の状態でログインできたいたことになるんですよね? > > こんなことは初めて言われたので戸惑っています。 > いくら同時刻でもセッションIDの重複なんて起こるんでしょうか? > どなたかご教授下さい。 > > ※気になる点として、インストール時に/tmpに保存するよう設定したのと関係があるのでしょうか。。。 > > >
You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.)
Login
Nickname
Preview
Post
Cancel
RE: セッションハイジャック? (2005-08-12 17:09 by
Anonymous
#15769)
Reply
Create ticket
> いくら同時刻でもセッションIDの重複なんて起こるんでしょうか?
困ったことに、リンクURLにセッションIDが含まれてると容易に重複します。
そして、SpiderKiller無し環境ではクローラーがセッションID付きのURLを
持ってちゃいまいますし、cookie喰わないヒトが、セッションID付きのURLを
持って行っちゃう可能性も大いに有ります。
osCレベルの対策としては
A. リファラーを見て「明らかに自サイト外から飛んできた」と判別出来る
場合にセッションを付け替える(session.referer_check)
B. ログイン時にセッションを再生成する(Recreate Session)
の2つがありますので、早急に両方を実施されることをお勧めします。
Reply to
#15142
Reply to #15769
×
Subject
Body
Reply To Message #15769 > > いくら同時刻でもセッションIDの重複なんて起こるんでしょうか? > > 困ったことに、リンクURLにセッションIDが含まれてると容易に重複します。 > > そして、SpiderKiller無し環境ではクローラーがセッションID付きのURLを > 持ってちゃいまいますし、cookie喰わないヒトが、セッションID付きのURLを > 持って行っちゃう可能性も大いに有ります。 > > osCレベルの対策としては > > A. リファラーを見て「明らかに自サイト外から飛んできた」と判別出来る > 場合にセッションを付け替える(session.referer_check) > > B. ログイン時にセッションを再生成する(Recreate Session) > > の2つがありますので、早急に両方を実施されることをお勧めします。
You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.)
Login
Nickname
Preview
Post
Cancel